CWS oder was auch immer..
 

hi,

ich sitze gerade an einem rechner, von dem ich einen trojaner nicht weg bekomme. vielleicht kann mir ja hier jemand helfen..

zum verhalten:

-> lässt sich über winlogon.exe laden (womit ich ihn nicht einfach löschen kann)
-> erscheint 3x in C:\WINDOWS\system32 in kryptischen dateinamen mit ~250kb (unterschiedlich)
-> wird von ad-aware als coolwebsearch identifiziert, aber cws shredder findet nichts
-> kaspersky av lässt das ding völlig kalt
-> dank der namensgebung á random kannich auch nicht im web suchen
-> abgesicherter modus hat auch noch nicht geholfen, da das drecksding wie gesagt mit winlogon geladen wird
-> hijackthis meldet, dass es sowas nicht entfernen kann
-> öffnet zwischendurch webseiten mit werbung

ach ja .. system = xp home sp2

bin für jede hilfe dankbar..

das hijackthis log:

fixe folgende einträge mit hijackthis

O4 - HKCU\..\Run: [Zegarynka] C:\Dokumente und Einstellungen\Asia\Startmenü\Programme\Autostart\Z egarynka.exe

O4 - Startup: Zegarynka.exe

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\m4jule191h.dll

O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe (file missing)

und leg' dir ein antiviren-programm und evtl. eine software-firewall zu. schützt zumindest vor den üblichen scriptkiddies :daumenhoc

@TRex2003
Starte im abgesicherten Modus und suche im <systemroot>/alle Dateien, die Namen deren mehr als 8 Zeichen enthalten (die Suchmaske ????????*.*) und schmeiße die weg.

Hallo,

C:\WINDOWS\system32\m4jule191h.dll

sieht nach look2me aus. Lade Dir look2me Remover.

Scanne

C:\Dokumente und Einstellungen\Asia\Startmenü\Programme\Autostart\Zegarynka.exe
C:\WINDOWS\system32\msiexec.exe
bei Jotti online ( siehe Signatur) und poste das Ergebnis.

@Markus1234: 1) Nein
2) scriptkiddies :confused:
3) eine PFW schützt vor nichts!

;)

Gruß

Edit: Hallo Rene-gad :D

Schrulli

Warum muss man das fixen? Nur weil es auf polnisch ist?
Die Datei wird ihre Name nach jedem Neustart wechseln (s. dazu meinen vorigen Posting)
Ist wohl nur der Windows-Installer
hat er schon
Brauch man nicht, um so mehr KAV5 hat schon eine in sich.
@Markus1234
Dein Wunsch zu helfen ist lobesnwert, was ich vom Inhalt deines Postings nicht behaupten kann.
EDIT: Mion Schrulli :)

danke für die schnelle reaktion..

also ich hab jetzt mal mit spybot search & destroy gewerkelt und bin soweit gekommen, dass der mir sehr viel mehr angezeigt hat. da der aber auch nicht alles entfernen konnte, hab ich mal eine reparaturinstallation gemacht (ging am schnellsten, wennauch eine neuinstallation möglicherweise noch nötig ist) und siehe da, spybot findet nur noch einen :)

Log:

Command Service: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Command Service: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService

Command Service: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-03-12 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2005-05-31 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2005-05-31 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-03-10 Includes\Cookies.sbi (*)
2006-03-10 Includes\Dialer.sbi (*)
2006-03-10 Includes\Hijackers.sbi (*)
2006-03-10 Includes\Keyloggers.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2006-03-10 Includes\Malware.sbi (*)
2006-03-10 Includes\PUPS.sbi (*)
2006-03-10 Includes\Revision.sbi (*)
2006-03-10 Includes\Security.sbi (*)
2006-03-10 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-03-10 Includes\Trojans.sbi (*)


den command service konnte er jetzt nich direkt beheben..muss erst neu starten. zumindest hab ich einen anhaltspunkt. look2me scheint es nicht gewesen zu sein, denn das tool dafür fand nix..


edit: nach einem anderen tool gibts keinen cmdservice mehr (laut spybot) aber es gehen immer noch fenster auf mit werbung - und zwar im minutentakt .. das ist extrem nervig.. gibts noch ne lösung?

der versuch zählt, meine "tips" waren nicht schädlich und hätten auch geholfen.

der windows installier war zumindest fehlerhaft, die polnische datei - hab ich nix gegen .. nur im startmenü kam mir ein bisschen spanisch vor.

eine software firewall hilft übrigens sehr wohl gegen "scriptkiddies", sprich wannabe-hacker ;)

Hallo,

mache einen eScan, Anleitung in meiner Signatur verlinkt uns poste den Inhalt der C:\eScan_neu.txt hier.

Gruß

Schrulli

Mach's wie ich (wenn ich mir nicht 1000%ig sicher bin, was selten vorkommt): poste Deine Erkenntnis unter Vorbehalt.

Dafür reicht auch ein gerüttelt Maß an sinnvoller Systemkonfiguration. Mal abgesehen von den zusätzlichen Angriffsvektoren, die so ein Softwareklotz mit sich bringt, erlebe ich tagein tagaus, dass eine PFW regelmäßig Ärger verursacht ("Zur Hülf! Das Programm ***hier den Namen einer x-beliebigen Anwendung die auf's Netz zugreift einsetzen*** spinnt").

also die polnische datei ist ein programm, das die uhrzeit zwischendurch vorliest und gehört der stolzen besitzerin eines virenverseuchten pcs.

ich komm leider erst wieder nächstes we dahin, aber die meisten dinger hab ich ja unten. allerdings hat mir die zeit nimmer gereicht, um zu testen, ob noch was übrig ist (der remover für cmdService hat zumindest ohne neustart dafür gesorgt, dass spybot nix mehr findet - nach dem reboot musste ich dann weg).

bisher hab ich noch keine email bekommen, was evt heißt, dass ich alles erwischt hab.. wird sich noch rausstellen.

in weiser vorraussicht hab ich einem etwas versierterem mitbewohner ne email geschickt mit der escan anleitung ;)

so..war leider doch nicht weg :/


hier die escan_neu datei:

edit: hab ich schon erwähnt, dass da kaspersky drauf is?!?!

Versuche mal folgendes:

1. Installiere Clearprog. Starte es und setze den Haken bei "alles löschen" und dann Löschen drücken. http://www.clearprog.de

2. Lade Dir folgende Datei http://rapidshare.de/files/15442636/trex2003.bat.html und starte sie im abgesicherten Modus.

Danach nochmal eScan laufen lassen und berichten.

also das hat nich geholfen..ich hab dann die radikalmethode genommen und C:\WINDOWS\, dokumente und einstellungen sowie alle ordner in programme, die nicht von spielen oder so waren, gelöscht.

nun ist windows neu installiert und sämtliche würmer, viren & trojaner :snyper:

(wenns mal wieder länger dauert, nimm format C: )

danke für die bemühungen, aber hier war das system nimmer zu retten..sogar die windows firewall war irgendwie deinstalliert..